Services

Auslagerungen

Was sie über die veränderten Anforderungen an Auslagerungsvereinbarungen und Auslagerungsmanagement wissen sollten und wie wir Sie unterstützen können.

Neben § 25 BWG und dessen Anlage treten ab dem 30. Juni 2019 neue EBA-Leitlinien in Kraft, welche die bestehenden CEBS-Leitlinien und bisherigen EBA-Empfehlungen ablösen. Für Auslagerungsvereinbarungen und das Auslagerungsmanagement gelten ab dem 30. Juni 2019 wesentlich striktere Vorgaben.

Die EBA veröffentlicht mit diesem Entwurf (EBA/CP/2018/11) umfassende Regelungen zur Auslagerung von Geschäftstätigkeiten, insbesondere Kriterien zur Beurteilung von ausgelagerten Tätigkeiten, Dienstleistungen, Verfahren oder Funktionen in Bezug auf Wesentlichkeit und Qualität. Von den Aufsichtsbehörden wird eine wirksame Überwachung im Sinne einer Risikobeurteilung der Stabilität des Finanzsystems gefordert.

Anforderungen an das Auslagerungsmanagement

Erstellung von Auslagerungsrichtlinien zu den Grundsätzen, Prozessen, Zuständigkeiten, Analysen und Plänen der Auslagerung
Implementierung und periodische Qualitätsprüfung eines Notfallplans
Einrichtung eines Auslagerungsregisters zur Dokumentation und Klassifizierung aller Auslagerungen
Berücksichtigung der Anzahl an Vereinbarungen mit demselben Dienstleister bei der Wesentlichkeitsprüfung
Umfassende Due Diligence des Anbieters und seines Umfeldes sowie Prüfung auf Einhaltung der DSGVO
Durchführung von detaillierten Risiko- und Szenarioanalysen und Identifikation des Operationellen Risikos
Festlegung von Regelungen über Zulässigkeit und Ausgestaltung von Kettenauslagerungen
Definition von Daten- und Systemsicherheitsstandards sowie von einer entsprechenden periodischen Überprüfung
Klar definierte, erprobte sowie weitreichende Übergangs- bzw. Ausstiegsstrategien
Berücksichtigung von Informationsund Zustimmungspflichten gegenüber der Aufsicht
Bestellung eines Auslagerungsverantwortlichen/ einer Auslagerungsfunktion zur Wahrnehmung der Dokumentations und Aufsichtserfordernisse

Produktinformationsblatt zu "Auslagerungen"

Wesentliche weitere Bestimmungen

Überblick der Auslagerungen

Hinkünftig müssen Banken ihre ausgelagerten kritischen oder wesentlichen Funktionen laufend überwachen und sicherstellen, dass die Dienstleister „angemessen und korrekt“ Bericht erstatten. Hierzu müssen in der Auslagerungsvereinbarung Parameter (KPIs, KCIs) zur Bewertung und Überwachung des Dienstleisters sowie der
Identifikation von Schwachstellen festgelegt werden.

Due Diligence

Institute sollen im Rahmen einer Due Diligence die Geeignetheit des Dienstleisters in Bezug auf die Verfügbarkeit von Kapazitäten, Ressourcen und dessen Organisationstruktur überprüfen. Weiters muss sichergestellt werden, dass der Dienstleister die Erlaubnis zur Ausübung kritischer oder wesentlicher Funktionen sowie zur Verarbeitung/Aufbewahrung vertraulicher Daten verfügt.

Risikobeurteilung

Szenarioanalysen müssen in Zukunft erstellt werden, um Auswirkungen von (Sub-)Auslagerungsvereinbarungen auf das Operationelle Risiko beurteilen zu können. Hierbei müssen Aspekte wie Konzentrationsrisiken, Step-in Risiken
sowie Maßnahmen zur Risikominderung beachtet werden. Banken müssen sowohl quantitative als auch qualitative
Performance Ziele und Berichtspflichten bei wesentlichen bankbetrieblichen Auslagerungen determinieren.

Vertragsphase

Banken müssen sicherstellen, dass der Dienstleister angemessene Daten- und Systemsicherheitsstandards einhält und sowohl ihnen, der Aufsichtsbehörde als auch ausgewählten Dritten Zugangs- und Prüfungsrechte für periodische Kontrollen einräumt. Darüber hinaus müssen detaillierte Regelungen über die Zulassung und Ausgestaltung von Kettenauslagerungen getroffen werden.

Ausstiegsstrategien

Im Fall von Schlechterfüllung oder Nichterfüllung des Dienstleisters müssen Institute alternative Lösungen und Ausstiegs- und Übergangspläne entwickeln, um die Kontinuität und Qualität der Dienstleistungen auch in entsprechenden Krisensituationen langfristig sicherzustellen.

Informationspflicht an die Aufsicht

Banken müssen der Aufsichtsbehörde Zugang zu ihrem Auslagerungsregister gewähren und unterliegen darüber hinaus einer umfassenden Informations- und Zustimmungspflicht gegenüber der Aufsicht bei zeitnahen und geplanten Auslagerungen kritischer oder wesentlicher Funktionen.

Wir unterstützen Sie mit diesen Leistungen beim Thema Auslagerungen

der Entwicklung und Dokumentation von Auslagerungsstrategien und Auslagerungsrichtlinien	der Erstellung und Wartung des Auslagerungsregisters
der Durchführung der Due Diligence und Quality Assurance bei der laufenden Überprüfung der Dienstleister	der Implementierung und Adaptierung von Prozessen, Risk, Self-Assessments, IKS-Methoden und Backup Lösungen für Auslagerungen
der Durchführung von Risiko- und Szenarioanalysen sowie Festlegung der KPIs und KCIs für Auslagerungsdienstleister	der Durchsicht des Auslagerungsvertragswerkes und Integration von erforderlichen Klauseln

Ihr Kontakt

MMag. Dominik Damm

Partner FS Lead | Deloitte Österreich

ddamm@deloitte.at

+43 1 537 00-5400

Dominik Damm leitet die von ihm gegründete Deloitte Banking, Treasury & Capital Markets Advisory Österreich seit 2002. Er hat in den vergangenen mehr als 20 Jahren erfolgreich eine breite Palette von ... Mehr

Steuerberatung

Audit & Assurance

Financial Advisory

Consulting

Risk Advisory

Legal

Spotlight

Consumer

Energy, Resources & Industrials

Financial Services

Government & Public Services

Life Sciences & Health Care

Technology, Media & Telecommunications

Deloitte Private - Family Business

KMU Beratung

Jobportal

Karriere bei Deloitte

Warum Deloitte

MaturantInnen

Studierende

Berufserfahrene